我是冰峰,你们又要教程又要解释,那我就麻烦点给你们弄了这个摆脱“肉鸡”的方法教程。
第二件事,坐等小姐姐,我温柔体贴依着你。单身可私信然后加v。
肉鸡就是被黑客攻破,种植了木马病毒的电脑,黑客可以随意操纵它并利用它做任何事情,就象傀儡。肉鸡可以是各种系统,如windows、linux、unix等,更可以是一家公司、企业、学校甚至是政府军队的服务器。其实“肉鸡”又叫做“肉机”,一台被黑客控制的电脑,就是“砧上鱼肉,任人宰割”,就是黑客可以控制你的电脑就相当你自己在电脑操作一样,为所欲为!而你的电脑只能是一只任人宰割的“肉鸡”。
何为木马?
讲到“肉鸡”就不能不讲到木马。古希腊传说,特洛伊王子帕里斯访问希腊,诱走了王后海伦,希腊人因此远征特洛伊。围攻9年后,到第10年,希腊将领奥德修斯献了一计,就是把一批勇士埋伏在一匹巨大的木马腹内,放在城外后,佯作退兵。特洛伊人以为敌兵已退,就把木马作为战利品搬入城中。到了夜间,埋伏在木马中的勇士跳出来,打开了城门,希腊将士一拥而入攻下了城池。后来,人们在写文章时就常用“特洛伊木马”这一典故,用来比喻在敌方营垒里埋下伏兵里应外的活动。我们所说的电脑木马的取名就来自于这典故。缘于两者都是伪装欺骗,最终达到敲开城门的目的,不同的是我们电脑木马 敲开的是电脑用户的门。
木马是一种基于远程控制的黑客工具,其实就我个人而言认为其就是特殊的远程控制软件,它具有隐蔽性和非授权性。
“肉鸡”和木马又有什么的关系呢?一台电脑,如何在好好的状态下沦为“肉鸡”?因为黑客们有一种工—木马。黑客通过给用户的电脑种下木马,从而实现在用户不知情的情况下进行远程控制。木马就是一种具有隐蔽性等性质的远程控制软件。一般来说,黑客在进行种马前都会对木马进行免杀,从而避免被杀毒软件等安全软件发现并删除,然后待到种到用户电脑里,更是神不知鬼不觉的进行潜操作。一切都是在用户不知情的情况下进行的。它会通过一序列的方法让你的电脑一开机就启动它;启动的同时,发送信息到黑客那,黑客就能即时的控制你的电脑。木马分为客户端和服务端,由于连接方式不同,可能哪个端的软件所在的位置也不同。咱们这里称为控制端和被控制端。黑客对“肉鸡”的控制是通网络远程数据传输处理实现的。举个例子把,如电视,黑客那端就是遥控端,而“肉鸡”端就是显示端,黑客通过控制端软件(相当于遥控器)通过网络发送不同的指令,而“肉鸡”上的木马端软件(相当于电视显示端)接受到指令进行处理,从而获取黑客要进行的操作并执行,如查看屏幕等,再通过网络将操作反馈到控制端,就相当于显示端得到遥控器的发来的指令,如换台,那么显示就显示另外频道的内容。对于木马来说,一切都是在暗地下进行的。所以在防范之前,了解下木马是很关键的。
木马的结构
一个完整的木马由软体部分、硬件部分和具体连接部分等组成。
硬件部分指建立木马连接所必须的硬件实体,一般有控制端(现在的木马一般为服务端,部分木马除外,如冰河)、被控端以及连接需要的Iternet。
软体部分指实现远程控制所需要的软件程序,一般有客户端、服务端对应的控制程序,还有客户端配置程序(冰河等木马称为服务端配置程序)。
具体连接部分指通过Internet连接建立木马通道所必须的元素,一般含有两个端的IP以及对应连接端口。
1.1.1 木马的特性
木马具有隐蔽性、自动运行、欺骗性、自动恢复、自动打开端口、功能特殊等性质。
作为一种算是恶意软件,通常种马者(控制端)给别人种马都是在对方不知情或不愿意的情况下进行的,且一般种马者想达到长久的控制,所以要求木马具有隐蔽性,从而避免木马被被控端发现;而现在的木马一般情况下为了绕过防火墙,采用被控端主动连接的方式,即变换冰河木马的服务端和客户端的方式(冰河木马采用的是被控端为服务端,控制端为客户端,所以需要控制端远程连接服务端,而现在大部分木马采取相反的方式,即被控端设置为客户端,控制端设置为服务端,采用被控端自动连接控制端的方式),所以如果被控端不连接,那么控制端无法控制,所以要求其具有自动运行性质,在系统启动的同时自动运行,主动连接控制端,避免关机下次无法连接,达到长久控制的目的;而欺骗性,同样是为了达到长久控制的目的,如木马文件伪装成系统文件、木马进程或服务伪装成正常系统进程、服务等,从而避免被发现;至于自动恢复,就是为了避免被破坏,从而失去控制,保证不被删除等;自动打开端口是由于木马的功能需要,需要打开相应的端口进行与控制端的连接及信息传递,从而实现功能;而特殊功能性,如木马的键盘记录等功能,就是为了满足控制者不同的目的需要。
因为木马的这些特性,造就了它是木马而非远程控制软件,这也可作为一种分辨远程控制和木马的标准吧。
木马的连接技术
木马可以算使一种特殊的远程控制软件,需要基于网络才能实现,而远程控制技术,始于DOS时代,只是出于种种原因而没有引起人们的重视。而随着网络的不断改进,该技术越来越受到重视,越来越普及,于是防范木马成了安全中不可少的课题,各种层出不穷的方法来防范。而木马作者为了木马的生存,也不断改进,连接技术就是木马技术中必不可少的。今天就和大家来初步探索下。
1、主动连接
这种连接方式的木马以冰河为代表。冰河是一款功能强大的远程控制木马,基于TCP/IP,可以基本黑客都认识。这种木马的连接技术就是主动连接,即服务端在运行后监听指定端口,而在连接时,客户端会主动发送连接命令给服务端进行连接。这种方法有个很大的弊处,那就是在连接的时可以轻易的被防火墙所拦截。
2、反弹连接
在“冰河”木马停止开发后,后来出现了一款大名鼎鼎的木马-灰鸽子。相必没有人不认识吧?其连接方式就有采用反弹连接。
防火墙能阻止外部连接,但是却阻挡不了内部向外连接。反弹连接即使利用这原理。反弹连接分为FTP反弹连接和域名反弹连接。目前仍是木马连接的主流技术之一。
FTP反弹连接原理如图。客户端首先登陆FTP空间,在相关网页上写入客户端电脑目前IP及开放端口。而服务端会定时读取FTP空间网页内容,当发现客户端信息就会主动连接远程服务端。域名反弹连接技术可能是平常在配置木马中最常遇见的,我们用希网等动态域名作为连接地址,其实就是采用域名反弹连接方式。原理同FTP反弹连接类似。首先我们更新域名信息,服务端通过域名读取客户端信息,然后主动连接客户端。采用反弹连接也有个缺点,它只能访问拨号上网和NAT代理上网的服务端。
3、HTTP隧道技术
使用HTTP隧道技术可以访问到局域网里通过HTTP、SOCKS4/5代理上网的服务端。其代表木马有红狼(Gh0st RAT)。
简单的说,HTTP隧道技术就是将传送的数据封装在HTTP协议里进行传送。因此可以访问到局域网里通过HTTP、SOCKS4/5代理上网的服务端。其几乎支持所有上网方式。这种连接方式同样可以避免防火墙及用户的发现,会被误以为是正常的使用浏览器上网。
4、其他连接方式
冰河、灰鸽子、红狼都属于C/S型木马,而这里不得不介绍下B/S型木马。
C/S型木马就是通过客户端(Client)对服务端(Server)进行控制操作;而B/S型木马就是通过浏览器(Browser)对服务端(Server)进行控制操作。
最早的B/S型木马是1998年第七届”DEF CON“黑客大会,由”死牛崇拜(CDC)“组织拿出的BO2000.国内也有个网络精灵,其实是把BO2000进行汉化精简后重新用VC++进行编译封装。
还有些其他的不常见或不常用木马连接技术这里就不多加介绍,大家有兴趣的可以去查资料。
木马的入侵途径
木马的入侵途径有很多,可以通过邮件附件、软件下载等,通过相关的处理,误导用户运行捆绑或包含有木马的文件,从而运行木马。如exe格式的flash播放文件,可以起个吸引人的名字,如“好玩的游戏”,通过剑域联盟捆绑器等捆绑工具将该文件和木马捆绑,发送给用户,当用户由于被文件标题吸引,运行文件玩游戏,自然的也运行了木马。
一般的木马配置生成的木马很小,只有几十K,最多几百K,上次玩过过一个鸽子集团的小马,配置成的马甚至只有7K。所以将木马捆绑在文件上是很难发现。我们可以采用“魔龙EXE捆绑检测”等相关工具检测文件头从而检测文件是否进行了捆绑。
木马还可以通过Script、ActiveX及ASP.CGI交互脚本的方式植入。由于微软的浏览器在执行Script脚本是存在一些漏洞。攻击者可以利用这些漏洞传播病毒和木马,甚至直接对浏览者电脑进行文件操作等控制。或者其他的相应漏洞等。
这是按你们要求做的,希望你们喜欢。
閱讀更多 黑客冰峰 的文章
